中國駭客利用 Fortinet 零日漏洞取得 VPN 憑證

Volexity 的網路安全研究人員最近報告稱，一名與中國政府相關的威脅行為者利用 Fortinet 的 Windows VPN 用戶端 FortiClient 中未修補的零日漏洞，直接從記憶體中竊取敏感的 VPN 憑證。

「BrazenBamboo」是疑似中國政府資助的威脅行為者，被認為開發了“DEEPDATA”，這是一種針對Windows 作業系統的模組化後利用惡意軟體，可以提取憑證、錄製音訊並從各種應用程式收集資訊.

Volexity 也追蹤 BrazenBamboo 作為其他惡意軟體系列（例如 LIGHTSPY 和 DEEPPOST）的開發者。然而，該公司補充說，它不一定將它們與使用它們的運營商聯繫起來，因為可能有多個用戶。

在分析DEEPDATA 惡意軟體家族期間，安全研究人員發現該惡意軟體的專用FortiClient 插件透過提取敏感憑證（例如儲存在FortiClient VPN 用戶端進程記憶體中的JSON 物件中的使用者名稱、密碼、遠端網關和連接埠）來利用該漏洞。

據網路安全專家稱，DEEPDATA 框架依賴核心動態連結庫(DLL) 元件“data.dll”，該元件旨在透過名為“frame.dll”的插件執行編排器解密並執行多達12 個獨特的插件」。

這些插件中有一個新識別的「FortiClient」DLL，能夠從 FortiClient VPN 進程的進程記憶體中提取憑證和伺服器資訊。

「Volexity 發現 FortiClient 插件是透過檔案名稱 msenvico.dll 的函式庫包含的。該外掛程式被發現利用 Windows 上 Fortinet VPN 用戶端中的零日漏洞，使其能夠從客戶端進程的記憶體中提取用戶的憑證。寫道在周五的技術部落格文章中。

該插件所採用的技術類似於 2016 年發現的類似漏洞，其中可以根據硬編碼偏移在記憶體中發現憑證。

然而，Volexity 確認 2024 漏洞是新漏洞，存在於 FortiClient 版本 7.4.0 中，該版本是發現漏洞時的最新版本。

該網路安全公司於 2024 年 7 月 18 日向 Fortinet 報告了憑證洩露漏洞，並於 2024 年 7 月 24 日得到承認。

「Volexity 的分析提供的證據表明，BrazenBamboo 是一個資源豐富的威脅參與者，它保持多平台功能和長期運作。他們能力的廣度和成熟度表明了強大的開發功能和驅動開發輸出的營運需求，」該網路安全公司指出。

除了 DEEPDATA 之外，BrazenBamboo 還開發了 DEEPPOST，這是一種利用後資料外洩工具，用於使用 HTTPS 將檔案傳送到遠端系統。

DEEPDATA 和DEEPPOST 以及LIGHTSPY（一個已知針對多個作業系統（包括iOS 和Windows）的多平台惡意軟體系列）展示了威脅參與者先進而強大的網路間諜能力以及對未修補的系統和敏感用戶資料構成的風險。

在 Fortinet 正式承認所報告的漏洞並推出安全修補程式之前，建議限制 VPN 存取並監控登入活動是否有任何違規行為。

我們鼓勵依賴 Fortinet 解決方案的組織保持警惕，因為如果被利用，該缺陷可能會暴露敏感憑證。